【捍衛人民權利又需守護國家安全 --- 督責「資通安全管理法」立法 】
明天資安法逐條審查,我有些話要說。
經過我跟業界幾個月密切的討論,我自己寫文章呼籲,也不斷地跟主管機關反映,我自己還提出相關修正案,目的就是希望行政部門能夠回應民間強大的疑義。
直到昨天,行政院資安處簡宏偉處長到我辦公室來,達成下列共同的看法:
一、最具爭議性的第18條刪除,第21條罰則規定併同刪除
原來最令人感到疑義的第18條,行政部門得逕自派員行政檢查的霸王條文將刪除。未來如果發生資安事件就回歸各自目的事業主關機關直接督導,各部會的組織法原來都已經有相關規定,回歸各部會原本的法令,也讓事權統一。行政院資安處本來就只是擔任各部會資安議題的協調、支援角色,實在沒有必要直接插手,應該讓事權回歸到各事業主管機關的相關管理程序即可。
二、排除條文中有關「地方政府」的部分,讓事權統一回歸到中央主管機關
刪除原來條文中有關於「地方政府」的部分,讓事權統一,不要有多頭馬車的情況。原來這部分擔心的是像捷運這類關鍵設施,權責都是在地方六都各自的捷運局或捷運公司,後來的想法便是統一由交通部來統籌處理,回歸到中央目的事業主管機關的事權統一。
三、第2條「非公務機關」改成「特定非公務機關」。「關鍵基礎設施」將以正面表列的方式明訂,連同稽核人員資格、稽核辦法,都將召開公聽會,另外以條例或辦法的方式明確訂定。
未來資安處預計將公布1個細則、4個辦法,針對許多執行細節,如關鍵基礎設施將如何明確正面表列?現場稽核要如何進行?稽核人員的資格與成員身分?還有很多執行的細節都需要有更明確的訂定。這部分行政院資安處承諾會召開多場公聽會,並且邀請專家學者及業界代表發聲,我也具體承諾會持續跟進並且緊密關注這部分的發展。
針對關鍵基礎設施的認定以及相關程序,我認為一定不可以籠統而含混不清楚,事實上目前的八大關鍵基礎設施的定義都還太概略性,也難怪大家會恐慌。我認為關鍵基礎設施認定的基本原則應該是「Single Point of Failure」(單點故障,全面癱瘓)。應該列管的是這一類關鍵設施,因此也不會是整個公司。例如中華電信、證交所,這些公司都很重要,但應該列管的是裡面「單一故障,就足以全面癱瘓」的關鍵設施,而這一類關鍵設施的設定程序應該有個明確且嚴謹的認定過程;但是關鍵基礎設施的清單應該保密,並且應該接受定期的檢核。這部分也不應該只有行政單位單方面主導,民意代表也應該參與,最少應該要有督導的權力(就好像我們審查機密預算一樣,可督導,但是具秘密性)。
第四、是不是不應該只有懲罰,也應該有獎勵或保護的措施呢?否則只有懲罰沒有通報的單位(不管是公家或私人),積極通報的單位是不是應該也要有些相關的獎勵或更積極的協助?這部分簡處長承諾會更積極地協助相關的單位,並且會協助其保密(不要因為擔心影響聲譽就不通報),並且提供更多跨部會的支援與協助。
第五、其實這議題終究還是需要回歸到產業面來解決,現階段資安領域真的是求才若渴,我們不僅是需要資安產業,我們更需要產業「資安化」,政府應該協助導引民間企業意識到資安的重要性,並且努力打造資安產業,培養更多的人才,教育部、經濟部、國發會、國防部都應該跨部會合作建立人才培養的機制與管道。
我同意「資安即國安」,但是施政的過程應該兼顧多方的意見與權益,不可以太粗魯或霸道,甚至有侵害人民權利的情事發生。這一個議題我承諾,我會持續地關注,守護大家的權利,督責立法,責無旁貸。
#資安即國安但不應該粗魯或霸道
#資安法要兼顧國安跟人民權益
#我會持續監督
